Con l’arrivo della beta di iOS 14 è stata introdotta una nuova misura di sicurezza: gli iPhone ora avvisano gli utenti ogni volta che un app sta accedendo alla cosiddetta clipboard. Apriti cielo, ne è venuto fuori che pressoché ogni app abusa della funzione, spesso senza un reale motivo valido.
La clipboard degli iPhone permette di passare agevolmente un testo o un’immagine da un’app all’altra. Ad esempio è possibile copiare un’immagine da un’app e poi incollarla rapidamente su un post su Facebook. Oppure si può prendere una riga di testo, pensate alle credenziali di accesso ad un sito, dalle note per inserirle sul browser.
È una funzione utile. Ma quello che difficilmente si immagina è che ogni volta che gli utenti decidono di farvi ricorso, praticamente ogni altra app è in grado di accedere e leggere il contenuto copiato, con ovvi, e gravi, problemi non solo per la privacy, ma anche per la sicurezza degli utenti.
Recentemente si è scoperto che moltissime app abusano della lettura della clipboard, incluse molti servizi che non avrebbero nessun motivo per farlo. Ma andiamo con ordine.
Della presenza e della pervasività del problema si sa da almeno quattro mesi, quando Mysk aveva creato un’app fantoccio per mostrare come fosse facilissimo accedere al contenuto della clipboard senza nessuna forma di limitazione. E nessuna significa letteralmente nessuna: copiando un’immagine ne era venuto fuori che ogni app poteva non soltanto prenderne visione, ma accedere anche ai suoi metadati — come la posizione e le caratteristiche del device da cui è stata generata.
L’introduzione del nuovo avviso da parte di Apple ha colto alla sprovvista più di qualche utente. Subito dopo l’introduzione della misura di sicurezza con la prima beta di iOS 14 moltissimi utenti hanno iniziato a segnalare il comportamento anomalo delle app più svariate.
Alcuni utenti avevano spiegato di ricevere un allerta ogni volta in cui digitavano qualcosa, altri ogni volta in cui premevano la barra spazzatrice o un elemento di punteggiatura.
TikTok era stata una delle prime app beccate a spiare la clipboard dell’iPhone. La notizia aveva fatto particolarmente discutere, visto che si inseriva nell’eterno filone di accuse di spiare gli occidentali per conto della Cina. Ma l’app cinese non è l’unica, anzi, è in ottima compagnia.
LinkedIn is copying the contents of my clipboard every keystroke. IOS 14 allows users to see each paste notification.
I’m on an IPad Pro and it’s copying from the clipboard of my MacBook Pro.
Tik tok just got called out for this exact reason. pic.twitter.com/l6NIT8ixEF
— d (@m0nald) July 2, 2020
Trai servizi che si sono presi un po’ troppe libertà c’è anche Linkedin. Il social di Microsoft aveva spiegato che i ripetuti tentativi di accesso alla clipboard della loro app per iPhone erano causati da un bug; «non conserviamo ne trasmettiamo le informazioni copiate sulla clipboard», ha detto un portavoce a ZDNet.
TikTok ha invece spiegato di accedere ai dati della clipboard per via di un meccanismo anti spam, che è progettato per prevenire il cosiddetto flooding — l’atto di condividere ripetutamente e in breve tempo la stessa frase per intasare i commenti di un post o di una diretta.
Anche Reddit ha annunciato che un nuovo aggiornamento, che dovrebbe arrivare il 14 luglio, risolverà il problema dei ripetuti accessi alla clipboard.
Don Morton, uno dei primi sviluppatori a denunciare la vulnerabilità della clipboard di iOS, ha creato una lista onnicomprensiva delle app beccate a spiare i loro utenti. Morton, ad ogni modo, spiega che il vero problema non è che le grandi app, con dietro aziende facilmente identificabili, spiino la clipboard. A maggior ragione se sono in grado di fornire garanzie sul fatto che non abusino delle informazioni salvate nella clipboard.
Il problema, continua lo sviluppatore nel suo blog, è che virtualmente ogni app può accedere a quelle informazioni. Significa che è possibile creare app fantoccio (ricordate l’esperimento di Mysk?) con il solo scopo di abusare della informazione, rubando in breve tempo i dati sensibili degli utenti — come password, numeri di previdenza sociale e codici fiscali, email e indirizzi.
Le aziende beccato fino ad adesso hanno ogni motivo per comportarsi bene, ma inizierei a pensare a quelle compagnie o app che non hanno la minima intenzione di comportarsi bene.
ha detto.
- LinkedIn, Reddit, Google News and other apps caught spying on iPhone users’ clipboards (phonearena.com)
- Please leave our clipboards alone (substack.com)